Security

Какие риски безопасности существуют у сотрудников, использующих Dropbox?

Есть ли какие-то особые проблемы с безопасностью, о которых следует помнить при использовании Dropbox в масштабах всей компании для обмена файлами/создания версий/резервного копирования, и есть ли конкретные опции или настройки, которые рекомендуется использовать для ограничения риска?

Ответ 1

Это зависит от вашего бизнеса и уровня ответственности. Гораздо безопаснее, хотя и дороже, выдавать ноутбуки с VPN-соединением.

Основные риски:

  1. Бывшие сотрудники потенциально имеют доступ к бизнес-данным после прекращения трудовых отношений. Вы, как компания, ДОЛЖНЫ контролировать учетные записи, если не хотите, чтобы какой-нибудь недовольный сотрудник получил доступ к данным после увольнения...

  2. Эти услуги будут обходить любые автоматизированные механизмы хранения документов, которые у вас есть, что добавит вам еще одну область для ручного хранения документов.

Рекомендации:

  1. Убедитесь, что вы можете генерировать собственный ключ(и) шифрования для хранения данных и что ключ(и) не передается поставщику услуг.

  2. Убедитесь, что ваши данные зашифрованы ДО того, как они будут отправлены в хранилище службы.

  3. Если вы собираетесь разрешить отдельным лицам иметь собственные учетные записи, создайте единую контактную контрольную точку для вашей компании. Координируйте все учетные записи через этого человека (или нескольких человек в качестве доверенных лиц). Или убедитесь, что провайдер поддерживает бизнес-аккаунты, под которыми можно как-то объединить сотрудников.

Ответ 2

Я бы действовал очень осторожно. Dropbox позволяет расширить жесткий диск другого компьютера. Это расширение хуже, чем USB-носитель, в том смысле, что инфекции с одного ПК могут попасть на все другие ПК, использующие этот ресурс, гораздо легче, чем с USB-носителя. Авторы вирусов/троянов/ботов не нацелены на dropbox (пока), но если они решат это сделать, то у вас будет виртуальный «черный вход» от контролируемого компанией ПК в защищенной сети к незащищенному компьютеру в незащищенной сети. В обычном режиме работы нельзя просто пройти через этот вход и посмотреть на другие вещи на компьютере – можно увидеть только элементы в папке Dropbox, а новые элементы могут быть созданы только в этой области, но это при условии, что само приложение Dropbox не может быть взломано.

Кроме того, Dropbox заявляет о высокой степени безопасности, но можно ли это на самом деле доказать? Возможно, кто-то может пробраться в это «окно» удаленно с совершенно другого компьютера и попытаться поместить зараженные документы и программы на рабочий компьютер. Очевидно, существует протокол, который использует сам dropbox для связи со своими клиентами – зашифрован ли он? Защищен ли он от переполнения буфера? Атаки «человек посередине»? Подслушивания? Атаки повторного воспроизведения? Можно ли, используя стандартный протокол, размещать файлы внутри или даже за пределами стандартной области dropbox? Если протокол имеет переполнение буфера, можно ли скомпрометировать его таким образом, чтобы получить полный доступ к машине? К общим сетевым ресурсам машины?

Я не думаю, что риск очень высок, но нанесенный ущерб может быть значительным, поэтому это то, что должно быть тщательно продумано.

Ответ 3

Облачные «потребительские» решения для обмена файлами, такие как Dropbox, не предназначены для бизнеса или корпораций. Microsoft лучше всех сказала об этом в Skydrive, когда заявила, что эти продукты не предназначены и не должны использоваться для бизнеса.

Существуют тысячи причин, почему это нельзя, которые перевешивают все причины, почему можно.

Самая большая причина, помимо рисков безопасности (и условий использования, в которых указано, что третьи лица могут иметь доступ к конфиденциальным файлам, следовательно, ничего конфиденциального никогда не должно храниться на таком сервисе, основанном на потребителях), является тот факт, что с таким сервисом, как Dropbox, можно сделать все что угодно. Например. Где хранятся эти файлы? Где расположены эти серверы? Вы можете быть уверены, что тот, кто предложит самую низкую цену, предложит что-то вроде «Правила и законы экспорта данных». 

Условия использования DB определяют (в основном), что, если он установлен на рабочем компьютере (Dropbox предполагает, что это лицо, потому что человек, устанавливающий его на рабочем компьютере, гарантирует, что он это делает, соглашаясь с лицензионным соглашением), «уполномоченное» лицо делает это ДЛЯ ВСЕЙ КОМПАНИИ. И так все должно быть понятно.

Что останавливает меня от использования этого за пределами моего сервера и рабочей среды, так это простая этика... У вас есть такой потребительский продукт, как Skydrive, на котором большими буквами написано: «Не для бизнеса!», потому что они не хотят рисковать данными клиентов на бизнес-уровне, потому что они знают, что это риск! А потом – Flippin Dropbox, который использует в своих контрактах юридические слова, такие как слово «stuff», который заявляет о «безопасности» и делает вид, что это не имеет большого значения (захотите ли вы потерять прибыль и столь ценные акции? Наверное, нет).

Это большая проблема. Чем больше группы по безопасности уверяют нас с вами следовать простым практикам, тем больше крупных компаний, таких как dropbox, выходят на рынок ради денег, ради прибыли; и ведут себя так, будто это не имеет большого значения.

ЕДИНСТВЕННЫЙ способ обойти это – локально зашифровать данные с помощью продукта шифрования, сертифицированного PCI, ДО того, как они попадут в dropbox, приобрести лицензию для всех ваших удаленных устройств, загрузить нужный файл и дешифровать его до того, как вы сможете его использовать.  

Так что спросите себя, пусть и мысленно, действительно ли это стоит риска? И хотите ли вы иметь дело с компанией, которая, как мне кажется, легкомысленно относится к рискам, связанным с использованием их продукта.

Ответ 4

Многое зависит от политики, действующей в вашей компании. Если все разработки, которые я делаю, принадлежат мне, то я бы беспокоился о том, что интеллектуальные активы компании могут легко «уплыть». Существует множество систем управления документами, которые позволят вам создать что-то, доступное только внутри компании или через контролируемое соединение.

Схожие статьи

SOAP: система безопасности и персонализации, службы каталогов
Security

SOAP: система безопасности и персонализации, службы каталогов

Security

Легко ли подделать IP-адреса?

Security

Ошибка автоблокировки Cygwin SSHd при входе в систему

Как зашифровать в MD5 важную информацию и как работает шифрование MD5
Security

Как зашифровать в MD5 важную информацию и как работает шифрование MD5